Windows Server 2025で強化される「Active Directory」の新機能はこれだ：Windows Server 2025のAD新機能【後編】

「Windows Server 2025」の「Active Directory」は、セキュリティ強化とシステム管理に役立つ新たな機能を提供する。IT管理者にどのようなメリットをもたらすのか。

[Brien Posey，TechTarget]

　Microsoftのサーバ用OS「Windows Server 2025」では、ID・アクセス管理システム「Active Directory」（AD）に複数の新機能が加わる。それらの機能の中には、セキュリティと管理効率の向上に重点を置いているものが幾つかある。これらの改善は管理者をどう支援するのか。

Windows Server 2025の「Active Directory新機能」はこれだ

併せて読みたいお薦め記事

連載：Windows Server 2025のAD新機能

• 前編：「Windows Server 2025」で進化する「Active Directory」の機能はこれだ

Active Directoryについて知る

• Active Directoryから「Microsoft Entra ID」に移行する理由と“第三の選択肢”
• 実はMacも管理できてしまう「Active Directory」（AD）の“意外”な真実

　Windows Server 2025のADは、「委任された管理サービスアカウント」（dMSA：delegated Managed Service Account）機能と連携してセキュリティを向上させる。dMSAは、Windows Serverでサービスアカウント（自動化されたプロセスやアプリケーション用の特殊なアカウント）を管理する機能だ。

　企業は、標準のユーザーアカウントをサービスアカウントとして使用することがある。一部のアプリケーションはサービスアカウントを使ってADと連携する必要がある。それらのアプリケーションで標準ユーザーアカウントをサービスアカウントとして使う場合、パスワードが古くなったり安全ではなかったりする場合があり、セキュリティリスクを生む。

　そうしたリスクを排除するためにdMSAは、セキュリティ機能「Credential Guard」を使用して資格情報をマシンに関連付ける。認証プロトコル「Kerberos」用の認証サーバ「Kerberos Key Distribution Center」を通じて、自動でパスワードも更新する。その他、dMSAはアプリケーションの設定を変更することなくサービスアカウントを移行可能だ。

トラブルシューティングと監視に役立つカウンター

　Microsoftは管理者がWindows Server 2025のADを保守、監視できるように、新しいパフォーマンスカウンターを導入する。具体的には、以下の機能を監視対象とする。

• Lightweight Directory Access Protocol（LDAP）クライアント
  • LDAPは、ディレクトリサービスにアクセスするプロトコル。
  • パフォーマンスカウンターは、ドメインコントローラーにLDAP形式でリクエストを複数送信しているアプリケーションを検出する。リクエストがの集中は、ディレクトリサービスのパフォーマンス低下を引き起こす恐れがある。
  • 接続数、要求元、1秒当たりのリクエスト数といった詳細情報も表示する。
• ドメインコントローラーロケーター
  • ドメインコントローラーロケータープロセスにおけるクライアントとサーバの構成要素をチェックする。
  • アクティブなメールスロット（Windowsの一方向通信チャネル）で送受信されるping（応答テスト）数、クライアントが送信する1秒当たりのリクエスト数などをチェックする。
• LSA Lookups
  • LSA（ローカルセキュリティ認証）は、Windowsにおいてユーザー認証、アクセス制御、セキュリティポリシーの適用などを実施するセキュリティ機能。
  • ファイルなどネットワーク内のリソースに対して、システムがセキュリティ識別子（SID）やLSA名を検索する際の速度低下を検出する。
  • クライアントとドメインコントローラー間の通信チャネル「Netlogon」は古いため、通常の通信方法が利用できなくなった際にのみ使用されるようになる。

認証の強化

　Windows Server 2025のAD DSは、認証プロトコルとしてKerberosを使う。暗号アルゴリズム「AES」（Advanced Encryption Standard）とハッシュアルゴリズム「SHA-256」（SHA：Secure Hash Algorithm）および「SHA-384」での暗号化を実現することで、セキュリティと信頼性を向上させている。これらの変更は、企業が規制やコンプライアンス（法令順守）に関する要件を満たすのに役立つ。この他、MicrosoftはWindows Server 2025において、暗号アルゴリズム「Rivest Cipher 4」(RC4）を非推奨にすることを計画している。

TechTarget発　先取りITトレンド

米国TechTargetの豊富な記事の中から、最新技術解説や注目分野の製品比較、海外企業のIT製品導入事例などを厳選してお届けします。